Как сделать SSL/https + reverse_proxy в nginx nextcloud?

Question

[Павел]

есть у меня nginx сервер, стоит отдельно на ubuntu 18.04
есть nextcloud сервер, через nginx на него перенаправляются запросы 80/443 порт
раньше стоял еще один nginx тоже на отдельном сервере установлен был через snap, в нем я сменил порты на 81/444
конфигурация nginx была вот такой:

конфигурация работающего ранее nginx

server {
server_name мой домен  www.мой домен;

    location / {
        proxy_pass      https://192.168.1.29:444/;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header X-Forwarded-Host $host:$server_port;
        proxy_set_header X-Forwarded-Server $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 }

client_max_body_size 0;



    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/мой домен/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/мой домен/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot


}
server {
    if ($host = www.мой домен) {
        return 301 https://$host$request_uri;
    } # managed by Certbot


    if ($host = мой домен) {
        return 301 https://$host$request_uri;
    } # managed by Certbot




    listen 80;
    return 404; # managed by Certbot
}

случилось так что пришлось мне nextcloud snap переустановить и теперь все поломалось, я что то запутался в последовательности перебрасывания всех вещей туда сюда, кто может логику прояснить?

На роутере я перебрасываю порты на nginx сервер верно? Иначе если проброшу сразу на nextcloud snap то уже на него непосредственно надо будет ставить сертефикат, а как будет он работать если там не 80/443 по умолчанию? Через reverse_proxy все гуд обратился по имени и получил сайт

в nextcloud snap я такие конфиги добавлял

sudo snap set nextcloud ports.http=81 ports.https=444
sudo snap run nextcloud.occ config:system:set trusted_domains 1 --value=мой домен
sudo nextcloud.enable-https lets-encrypt

по последнему пункту не ясно, ведь роутер смотрит на nginx и не может достучатся до этого сертефиката

уже голова кругом идет, выручайте ))

Comments

[Valentin Barbolin]

Тебе вообще не нужен ssl на самом nextcloud, сертификат нужно запрашивать на сервере nginx.
sudo certbot --nginx -d example.com -d www.example.com

proxy_pass https://192.168.1.29:444/;

поменяй на

proxy_pass 192.168.1.29:81;

в конфиг добавь для своего домена
'overwrite.cli.url' => 'https://мой домен',
'overwriteprotocol' => 'https',

'trusted_domains' =>
array (
0 => 'мой домен',
1 => '192.168.1.29',
2 => 'localhost',
}

[Павел]

Andrey Barbolin, спасибо

Answer 1

[Drno]

Нафига было ставить nextcloud через snap???)))

Надо через nginx? Роутер на Nginx, в proxy_pass укажите верный IP где некстклауд+порт (веб). Всё

Comments

[Павел]

Нафига было ставить nextcloud через snap???)))

а почему бы и нет? Я гуглил давольно долго и понял что разницы практически нет в производительности

Надо через nginx? Роутер на Nginx, в proxy_pass укажите верный IP где некстклауд+порт (веб). Всё

так и сделал но выдает

порт и ip 100% верные

мне кажется сам nextcloud snap не понял еще что я хочу от него https, но сделать это не могу потому что для этого нужно сертефикат поднять на нем же. Или я не прав?

[Drno]

Павел, Вы указываете https в nginx. и там же сертификат
а proxy_pass делаете на 80 порт в некстклауд

Просто по 80 порту - некстклауд открывается?

[Павел]

Drno, я сменил порты 80/443 на 81/444 иначе был конфликт в nginx конфигах, порты 80 и 443 уже направлены на основной nextcloud
но возвращаясь к суди дела, по 192.168.1.29:81 он открывается

[Drno]

Павел, что написано в proxy_pass у Вас?
что в файле /nextcloud/config/config.php вот в этой графе
'trusted_domains' =>.
array (
0 => 'mysite.ru',
1 => '192.168.121.1',
),

Ну и после настроек nginx перезапускали?

[Павел]

Drno,

/var/snap/nextcloud/current/nextcloud/config/config.php

<?php
$CONFIG = array (
  'apps_paths' =>
  array (
    0 =>
    array (
      'path' => '/snap/nextcloud/current/htdocs/apps',
      'url' => '/apps',
      'writable' => false,
    ),
    1 =>
    array (
      'path' => '/var/snap/nextcloud/current/nextcloud/extra-apps',
      'url' => '/extra-apps',
      'writable' => true,
    ),
  ),
  'supportedDatabases' =>
  array (
    0 => 'mysql',
  ),
  'memcache.locking' => '\\OC\\Memcache\\Redis',
  'memcache.local' => '\\OC\\Memcache\\Redis',
  'redis' =>
  array (
    'host' => '/tmp/sockets/redis.sock',
    'port' => 0,
  ),
  'log_type' => 'file',
  'logfile' => '/var/snap/nextcloud/current/logs/nextcloud.log',
  'logfilemode' => 416,
  'instanceid' => 'oc0*****d34',
  'passwordsalt' => 'vpDrC2Y7VO********+Z+lj2twrR9',
  'secret' => 'X8********kQdIN6ehoHz7YQ/9RSRHx59iqcq',
  'trusted_domains' =>
  array (
    0 => '192.168.1.29',
    1 => 'mydomain',
  ),
  'trusted_proxies' => array (
    0 => '192.168.1.17',
  ),
  'datadirectory' => '/var/snap/nextcloud/common/nextcloud/data',
  'dbtype' => 'mysql',
  'version' => '23.0.5.1',
  'overwrite.cli.url' => 'http://192.168.1.29',
  'dbname' => 'nextcloud',
'dbhost' => 'localhost:/tmp/sockets/mysql.sock',
  'dbport' => '',
  'dbtableprefix' => 'oc_',
  'mysql.utf8mb4' => true,
  'dbuser' => 'nextcloud',
  'dbpassword' => '*******************************',
  'installed' => true,
);

нашел я файлик, попробовал добавить еще такую опцию
'trusted_proxies' => array (
0 => '192.168.1.17',
),

но эффект тотже , хотя попробовал сделать сертефикат на nginx сервере и он успешно сделался, но по прежнему конекта нет , 502

[Drno]

Павел, если nginx и некстклауд на 1 пк - то
'trusted_proxies' => ['127.0.0.1'],

и в proxy_pass 127.0.0.1:81

в 'trusted_domains' =>
указывается именно внешний IP или доменное имя... тоесть то, что Вы вводите в браузере с другого ПК, чтобы зайти в некстклауд

UPD у Вас неправильно указан параметр прокси в конфиге некстклауда, посмотрите как я написал...

[Drno]

Павел,

[Павел]

Drno, у меня nginx на другом ПК, его ip 192.168.1.17 , попробовал добавить порт

'trusted_proxies' =>
  array (
    0 => '192.168.1.17:81',
  ),

для надежности ребутнул сам nextcloud

тоже самое( 502 ошибка

[Павел]

Drno, УРА!
proxy_pass http://192.168.1.29:81/;

помогло
друг! Спасибо тебе огромное за помощь!

[Drno]

Павел, порт убери из trusted proxy... там подразумевается только IP адрес, он не проверяет порт

[Drno]

Павел, ну логично... он же переадресовывает запрос
поэтому в proxy_pass вписывает то, что ты вписываешь в браузере)

это все есть в доках nginx ))